张友明[1]2005年在《高级加密标准的差分分析和积分分析的研究》文中指出国际互联网的快速发展导致了分组密码设计和分析技术的深入研究和广泛应用。分组密码设计技术能够为数据传输提供保密功能良好的加密算法。分组密码分析技术能对分组密码的安全性进行理论和实践的论证,同时也促进了分组密码设计技术的发展。目前,分组密码设计技术的成果有很多,最具代表性的就是被选作AES的Rijndael算法,而分组密码分析技术的成果体现在各种的攻击方法。其中有些是通用的,有些是针对某种加密算法而提出的。在众多的密码分析技术中,差分密码分析技术就是其中最具有代表性质的密码分析技术,而Square密码分析技术则是针对类Square密码而提出的密码攻击方法。对Rijndael算法进行了深入的研究,根据Rijndael算法流程,对Rijndael圈变换中的字节代换、行移位和列混合叁个运算进行了运算的综合,建立了2圈加密过程的矩阵表示。利用这种表示方法证明了差分密码分析方法可以攻破2圈Rijndael算法,而对于3圈及3圈以上的Rijndael算法,由于圈特征的概率太小,差分密码分析就不适用了。采用差分密码分析的变形即不可能差分密码分析技术,并利用4圈的不可能的差分特征,对5圈和6圈的Rijndael算法进行了理论分析,在已有的5圈的基础上计算出了攻击6圈所需要的明文对为2123.5,计算量为2124.5,并计算出了4圈Rijndael算法的最大的可能差分概率为2-150, 8圈Rijndael最大的可能差分概率为2-300,从而证明了单纯的差分密码分析在对4圈或者更高圈次的Rijndael算法的不可行性。用Square攻击方法对Rijndael进行分析,对Rijndael算法的Square性质进行了深入的研究。在已有4圈、5圈和6圈攻击的基础上,对7圈的Rijndael算法进行了分析。分析的结果表明该分析方法只对Rijndael-192和Rijndael-256算法有效,并推出了它们在理论上的计算量分别为2184和 2200。最后,还对如何加强Rijndael算法的安全性做了一定的探索性工作,对字节代换表、列混合和密钥扩展算法进行了改进,这些改进能在一定的程度上增强抵抗差分和Square密码分析的能力。
魏悦川[2]2011年在《分组密码分析方法的基本原理及其应用》文中认为分组密码是密码学的重要分支.数据加密标准DES的破译与高级加密标准AES的选用对分组密码算法的设计理论与分析理论产生了巨大推动.近几年来,在欧洲序列密码标准的征集活动ECRYPT计划和美国Hash函数标准的征集活动SHA3计划中,越来越多的序列密码和Hash函数都采用了分组密码的设计思想.分组密码设计理论的日渐成熟,对分组密码的分析提出了新的挑战,与此同时,设计理论也亟需新的分析结果来获得更大发展.本文研究了分组密码的不可能差分分析、相关密钥分析、积分分析和差分故障攻击的基本原理,利用这些分析方法对Feistel型密码、修正的Lai-Messay型密码、SPN型密码等算法进行有效地分析,获得了一些新的结果.本文的第一部分利用不可能差分分析方法对Feistel结构与Lai-Messay结构的分组密码进行有效分析.得到了以下几方面的结果:(1)研究了具有SP型轮函数和SPS型轮函数,并且线性层P定义在F2n×n上的Feistel结构.这两种结构在当前非常流行,代表密码为欧洲分组密码标准Camellia和AES候选算法E2.已知结果表明,当轮函数为双射时,Feistel密码存在5轮不可能差分.利用中间相遇法,本文得到了SP型轮函数Feistel密码存在6/7/8轮不可能差分的充分条件: P⊕P?1中汉明重量大于1的列对应着某些6轮不可能差分;通过统计P和P?1在某些特定位置上1的个数可以确定某些7轮不可能差分,通过计算P的某个子矩阵的秩,可以判断8轮不可能差分.我们设计了两个P置换,使用该P置换的Feistel-SP结构不存在上述8轮不可能差分,并且分支数达到最大.SPS型轮函数Feistel密码的6轮不可能差分也可以通过计算P的某个子矩阵的秩来确定.这些结果表明,当设计Feistel密码组件时,为使其能够抵抗不可能差分分析,应该慎重地选择线性层.(2)找到了AES候选算法E2密码的一组6轮不可能差分,对已知结果改进了一轮.基于新的6轮不可能差分,评估了E2密码抵抗不可能差分分析的能力,结果显示不包含初始变换和末端变换的7轮E2-128/192/256和8轮E2-256对不可能差分分析是不免疫的.(3)对修正Lai-Messay结构的FOX系列密码进行研究,结合线性层的性质,找到了FOX的4轮不可能差分,基于这些4轮不可能差分,利用空间-时间权衡技术,给出了对5/6/7轮FOX64以及5轮FOX128的分析结果.本文的第二部分研究相关密钥模型下分组密码的安全性.得到了以下两个结果:(1)研究了SPN结构的分组密码Crypton对相关密钥不可能差分分析的免疫性.通过分析Crypton密码的密钥扩展算法,构造了Crypton的6轮相关密钥不可能差分区分器,利用该区分器,结合线性层的性质,给出了对9轮256比特密钥的Crypton的攻击结果,该攻击可以恢复出Crypton的第9轮的全部密钥字节。(2)研究了韩国Hash标准HAS-160在加密模式下的安全性,HAS-160加密模式可以看作一个具有512比特密钥、160比特明文的分组密码,以前最优的分析结果是基于一个71轮的概率为2?304的相关密钥矩形区分器,通过更细致地研究HAS-160的性质,并引入比特固定技术,本文构造了一个概率为2?290的72轮相关密钥矩形区分器,利用这一区分器,对HAS-160的全部80轮给出了两个攻击方案,改进了已有的分析结果.本文的第叁部分研究积分区分器的构造.首先,利用Z'aba基于比特的积分思想,构造了具有256比特分组长度的Rijndael密码新的3轮积分区分器,该区分器只需要32个选择明文,与传统的Square区分器需要256个选择明文相比,明文量大大减少了.其次,利用高阶差分的理论,将密文看作关于明文的布尔函数,利用布尔函数的代数次数理论研究了积分区分器的构造与证明,分别以Rijndael密码和Present密码为例,将基于字节的积分方法与基于比特的积分方法统一到代数次数上来,丰富了积分攻击的理论.最后给出了6轮SMS4结构代数次数的一个上界,该上界远小于理想分组密码的代数次数.本文的第四部分提出了对欧洲标准SHACAL-2密码的差分故障攻击,SHACAL-2密码为广义Feistel结构,通过研究算法的迭代结构,采用面向字的故障诱导模型,在倒数第二轮诱导故障,结合差分分析技术,可以恢复出算法的轮密钥.在PC机上的模拟结果显示,恢复出一个32比特的轮密钥平均需要8个随机错误,结合密钥扩展算法,完全恢复出512比特密钥大约需要128个错误密文.该结果显示了硬件故障对SHACAL-2算法的安全性具有很大潜在危险.
杜承航[3]2011年在《分组密码算法ARIA的不可能差分分析和中间相遇攻击》文中认为21世纪是信息化时代,人们天天遨游在信息的海洋里。越来越多的人通过计算机网络处理大量信息,如电子邮件、网上交易等。信息成为了人类社会发展的重要资源,成为了当今世界进步和发展的动力和核心。信息交互和信息传输过程中的信息安全问题变得越来越重要。信息安全直接关系到国家安全、电子商务的安全以及广大民众的个人隐私权的保护等问题。信息安全的重要性带动了对密码学的研究。密码学作为一门保证数据信息安全的科学,得到越来越广泛的研究和学习。密码体制按照密钥共享的方式可以分为对称密码体制和公钥密码体制。对称密码主要包括分组密码、流密码和消息认证码(MAC),具有易于软硬件实现、运行速度快、存储量小等优点。分组密码是一种有效的带密钥的置换,将定长的明文转换成等长的密文。分组密码的加密密钥和解密密钥相同,或者都能由同一个主密钥得出,而且加密和解密过程有典型的对称特性。分组密码在计算机通信和信息系统安全领域有着广泛的应用。分组密码的安全性分析是密码学研究领域的热点问题。本文重点研究分组密码的安全性。分组密码算法的设计结构主要有两种:一种是Feistel网络结构。该结构每次只有一半的消息分组进入F函数,因此实现时具有占用硬件资源少的特点,适合在计算能力受限的条件下使用。1977年被确定为国际通用的分组加密标准的早期分组密码加密标准DES[50]就是这种结构的分组算法中的典型代表。DES是2000年前应用最为广泛的分组密码算法。DES的分组大小为64比特,密钥长度为56比特。另一种是代替-置换网络(SPN)结构。现行的高级加密标准AES[15]就是这种结构的代表。AES具有128比特的消息分组长度,密钥长度有128/192/256比特叁种。其它很多分组密码算法的设计也受到了DES和AES设计原理的影响,例如韩国分组密码加密标准ARIA算法[40,52,53]就具有与AES十分相似的结构。该算法由几名韩国密码学者在2003年提出[52],并于2004年改进到版本1.0[53]。它基于SPN网络结构,最大分支数为8,支持128比特消息分组及128/192/256比特的密钥长度,对应加密轮数分别为12/14/16轮。轮函数是SPN结构,由轮密钥异或、S盒变换和字节扩散变换组成。2003年,ARIA首次在韩国的信息安全年会中公开[52]。此时的版本为0.8,算法具有128比特消息分组,有128/192/256比特叁种密钥长度,分别对应10/12/14轮迭代。此版本中使用了两个不同的S盒。其中一个S盒是AES的S盒。后来,ARIA在版本0.9[40]中变为使用4个不同的S盒,迭代轮数没有发生变化。最后,在现行版本1.0[53]中,又将迭代轮数增加2轮,变为12/14/16轮,而且对密钥生成算法进行了适当的调整。2004年,韩国国家技术标准局(KATS)将这一版本在网页http://www.nsri.re.kr/ARIA/上公布,并在同年12月正式确定1.0版本的ARIA为韩国分组密码算法加密标准(KS X 1213)。由于ARIA与AES在结构上有很高的相似性,所以很多AES的分析方法都对ARIA有效。反之,对ARIA有效的分析方法也很有可能用来分析和攻击AES。对ARIA安全性的分析也变得非常重要。算法的设计者Daesung Kwon等人首先给出了ARIA的分析[40]。其中包括差分和线性分析,截断差分分析,不可能差分分析,积分攻击,高阶差分分析,插值攻击等。后来于2004年,Alex Biryukov等人对版本0.8进行了安全性评估[11]。他们主要进行了截断差分分析和专用线性分析。2007年吴文玲等人提出了对版本0.9的6轮不可能差分分析[61]。2008年李申华对吴文玲的6轮不可能差分分析进行了改进[44]。2009年李艳俊提出了最多攻击到7轮ARIA-256的积分攻击[45]。唐学海[60]等人在2010年提出最多攻击到8轮ARIA-256的中间相遇攻击。本文中,我们对现行的1.0版本的ARIA算法进行了安全性分析,主要使用了不可能差分分析及中间相遇攻击的分析方法,并有如下结果:(1)7轮ARIA不可能差分分析2007年,吴文玲等人首次发现了4轮不可能差分特征,该特征如下:(c,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0)(?)(0,j,0,0,0,0,0,0,j,j,j,0,0,0,j,0),其中c和j非零。基于此,吴文玲等人提出了第一个约减至6轮的ARIA不可能差分分析。李申华又于2008年对ARIA的不可能差分分析进行了改进,发现了新的不可能差分特征。利用这类特征对六轮ARIA进行攻击时,相对于吴文玲的不可能差分分析,可以分别减少猜测第1轮和第7轮轮密钥的1字节,从而使需猜测的密钥数由12字节减少到10字节,有效降低了不可能差分攻击的时间复杂度。这个四轮不可能差分特征可以描述为:(0,c1,0,0,0,0,0,0,0,0,0,0,c12,0,0,0)(?)(0,0,0,j,0,0,0,0,0,0,0,j,j,j,0,0),其中c1,c12和j非零。李的攻击需要2 120个选择明文和2 96次六轮加密运算,时间复杂度比吴文玲的攻击降低了2 16。在此基础上,我们对ARIA的不可能差分性质展开了进一步的研究。我们发现想进一步减少猜测密钥的字节数几乎是不可能的了。因此我们从其他方面入手。我们发现了扩散层的一种重要性质,然后结合我们构造的新的4轮不可能差分特征,我们给出了7轮ARIA-256的不可能差分分析。扩散层性质.由扩散层(DL)的线性表达式,及扩散层变换的自逆特性,我们发现了第一轮中进行扩散变换前状态的各字节之间的4个关系式,利用这4个关系式,我们可以有效过滤攻击过程中无用的明文对,从而大大降低了时间复杂度,使得对ARIA的不可能差分分析能够攻击到7轮。这4个等式如下通过使状态ΔX1(SL)的各字节满足上述4个等式,我们能在进行扩散变换前以2-48的概率过滤明文对。我们也构造出了对应此4等式的4轮不可能差分特征,形式如下:4轮不可能差分特征.给定一对只在第3字节有差分且其他字节无差分的明文(X3,X'3),经过4轮加密运算后,密文对差分ΔX7不可能产生如下形式:(j,0,j,0,0,0,0,0,j,0,0,j,0,0,0,0),即密文对只在(0,2,8,11)4字节处有非零差分,在其他字节无差分。这一不可能差分性质可用下式表示:(0,0,c,0,0,0,0,0,0,0,0,0,0,0,0,0)(?)(j,0,j,0,0,0,0,0,j,0,0,j,0,0,0,0)其中c和j为任意非零值。我们在4轮不可能差分特征前边加两轮,后边加一轮,构造我们的7轮不可能差分路线,并在第一轮中通过置换层后的状态用4个等式进行过滤。我们的攻击共需2 125选择明文和大约2 238 7轮加密。(2)改进的7轮ARIA-256不可能差分分析在上述7轮不可能差分分析结果基础上,我们经进一步的研究,又发现了扩散层与上述性质类似的性质,不同的是,这次我们得到7个等式,并由此降低了上述7轮攻击的数据和时间复杂度。这7个等式为:我们也构造了适用于此7个等式的4轮不可能差分特征,并在特征前加2轮,后边加1轮,构成新的7轮不可能差分路线。差分特征为:4轮不可能差分特征.给定一对在第(10,15)字节有差分且其他字节无差分的明文(X3,X'3),经过4轮加密运算后,密文对差分ΔX7不可能产生如下形式:(0,j,0,j,0,0,0,0,0,j,j,0,0,0,0,0),即密文对只在(1,3,9,10)4字节处有非零差分,在其他字节无差分。这一不可能差分性质可用下式表示(0,0,0,0,0,0,0,0,0,c,0,0,0,0,0,c)(?)(0,j,0,j,0,0,0,0,0,j,j,0,0,0,0,0)其中c和j为任意非零值。这一攻击需要2[2]选择明文和大约2 219 7轮加密。(3) ARIA中间相遇攻击ARIA算法的中间相遇攻击最早由唐学海[60]等人提出,他们最多攻击到8轮ARIA-256。8轮攻击的数据复杂度为2 56,时间复杂度为2 25.6,预计算复杂度为2 252。而7轮ARIA-192攻击需要2 120个明文,2 1853次7轮ARIA-192加密运算,和2 187次预计算。6轮攻击的数据/时间/预计算复杂度分别为2 56,2 121.5,及2 122.5轮攻击需要25个明文,时间复杂度为2 65.4,预计算复杂度为2 122.5。在此基础上,我们结合2010年由Orr Dunkelman, Nathan Keller, and Adi Shamir~([24])等人提出的针对AES的中间相遇攻击,提出了新的ARIA中间相遇攻击的4轮区分器,并以此为基础提出了新的最多攻击到8轮的中间相遇攻击,改进了唐学海等人的结果。4轮区分器如果δ-集的活性字节是第2字节,用4轮ARIA加密δ-集。则(无序)多重集[△X3,2 0 ,△X6,2 1,…,△X6,2 255]完全由以下30字节变量决定:-状态X 3 0(IN)的7字节1,4,6,10,11,12,15;-状态X 4 0(IN)的全部16字节;-轮密钥k5的7字节1,4,6,10,11,12,15。所以,多重集完全由232字节变量决定。这一多重集共有2 232个可能值。因此如果密钥的猜测值使得对应的多重集产生了上述的2232个值中的一个值,那么这个密钥的猜测值以很高的概率是正确密钥。我们在此区分器前边加1轮,后边加3轮,构造8轮ARIA的中间相遇攻击。我们的8轮攻击需要2 56选择明文,2 248.5加密及2 238预计算。而7轮攻击的数据/时间/预计算复杂度分别为2 112,2 176.7,2 182.2。我们也把6轮攻击的预计算由之前的2 122.5降到了2 110.5。最后我们平衡了5轮攻击的数据/时间/预计算复杂度到2 2.85,2 85.7,285.7。我的结果是目前ARIA算法中间相遇攻击中最好的结果。
刘佳[4]2013年在《叁个SPN型分组密码算法的扩展差分分析》文中指出分组密码在信息安全领域有着广泛应用. SPN型分组密码是分组密码的一个重要组成部分. AES算法、ARIA算法及3D算法等都是此类密码的典型代表.因此,对SPN型分组密码的研究具有重要的理论价值和现实意义.本文主要探讨了对叁个SPN型分组密码算法——AES算法、ARIA算法和3D算法的扩展差分类分析,主要研究成果如下:1.对比两类不可能差分对AES算法的攻击效果,对一类使用预计算的不可能差分分析方法,给出了描述不可能差分模式与攻击复杂度(包括时间、空间及数据)之间关系的表达式.2.分析ARIA算法扩散层的性质,提出了ARIA算法的4轮不可能飞去来区分器构造算法,并结合计算机自动搜索给出一批区分器.在此基础上,提出了对5轮ARIA算法的不可能飞去来攻击,并扩展到对6轮ARIA-192/256算法的不可能飞去来攻击.对5轮ARIA算法攻击需要2~(107.9)个选择明文和2~(107.9)次5轮ARIA加密,对6轮ARIA-192/256算法攻击需要2~(116.5)个选择明文和2~(137.4)次6轮ARIA加密.3.构造Independent-Biclique结构,提出了对全轮3D算法的Biclique攻击,并进一步扩展到对r (r≥10)轮3D算法的Biclique攻击.对r轮3D算法攻击需要2~(32)个选择密文和2~(512+lg_2(1-485/80r)次r轮3D加密.当r=10时,时间复杂度为2~(510.7)次10轮3D加密,当r=22时,时间复杂度为2~(511.5)次22轮3D加密.
王哲[5]2012年在《分组密码AES分析方法研究》文中指出信息系统安全的紧迫性和网络通信安全的重要性使人们越来越对分组密码的相关理论感兴趣,分组密码的设计与分析也一直是密码学中的热点课题。分组密码作为现代密码学中的一个重要研究分支,其诞生和发展有着广泛的实用背景和重要的理论价值。美国国家标准和技术研究所在经过一系列的评测后,从众多的分组密码中选中Rijndael算法,在2001年11月26日对外公布该算法作为AES算法[1,2,3,4]。AES算法作为美国数据加密标准算法,代表了国际密码界在分组密码设计与攻击领域的最高水平。因此对它的安全性分析是一个具有挑战性的课题,具有重大的密码学意义。围绕着AES算法的安全性分析,本文主要取得了以下研究成果:1、利用中间相遇攻击方法成功实现了对AES算法的前身Square算法[3]的研究。建立一个四轮分析器,分析出字节之间的组合关系,利用中间相遇攻击的思想,加密五轮,解密一轮后得到的函数值与事先准备的函数集合里的函数值进行比较,进而验证猜测的密钥正确与否;2、在倒数第四轮输入处植入故障,攻击了完整轮数的AES-128。在第七轮的输入诱导一个有故障差分的字节,进行四轮的运算得到错误密文值,通过正确密文与错误密文的差分值与字节之间的比例关系组成四个等式组,根据四个等式的比例关系猜测相关密钥,理论上需要使用两对明密文对就可以恢复正确的密钥。
海昕[6]2014年在《密码算法的组件设计与分析》文中认为现代社会,信息的安全防护问题日益凸显。密码学作为信息安全领域的支撑,获得了人们的高度关注。密码算法的组件设计与分析正是其中的一个研究热点,对于序列密码和分组密码体制均具有重要的理论与现实意义。在此背景下,本文围绕着密码算法的组件设计理论与分析方法两部分展开研究。密码函数(包括布尔函数和向量值布尔函数)是密码算法的核心组件,其安全性受到差分均匀度、代数免疫度等指标的制约。在本文前半部分,有限域上差分均匀度达到最优的向量值布尔函数——完全非线性函数的原像分布问题与指数和的值分布问题先后得到讨论;然后,本文又研究了具有最大代数免疫的布尔函数的计数问题。分组密码算法因其速度快、易实现等特点,在数据加密、数字签名等方面得到广泛应用。本文的后半部分研究了中间相遇攻击和积分攻击、不可能差分攻击等分组密码分析方法,并据此对Zodiac、RC6两种常见分组密码算法进行了安全性分析。在密码算法的组件设计理论研究方面,本文取得的主要成果有:(1)证明了当(?)(x)为GF(q~m)上Dembowski-Ostrom函数或Coulter-Matthews函数时,从GF(q~m) 到GF(q)的完全非线性函数tr(a(?)(x))的原像分布恰有两种取值,其中一种取值对应GF(q~m) 所有平方剩余元,另一种取值对应GF(q~m) 所有非平方剩余元。(2)利用有限域上二次型理论,刻画了叁类GF(q)到GF(q)上的完全非线性函数(?)(x)指数和的值分布特征;进而得到了序列间的相关分布特征和线性码的权分布特征。(3)研究了偶数元MAI布尔函数和1阶弹性的MAI布尔函数的计数问题。给出偶数元MAI布尔函数个数的一个新下界,该下界优于已有结果。关于1阶弹性的MAI布尔函数,首次提出了一个有意义的计数下界。在密码算法的分析方法研究方面,本文取得的主要成果有:(1)研究了Zodiac算法抵抗中间相遇攻击的能力。找到了Zodiac算法新的9轮区分器和10轮区分器,基于这两个区分器分别对15轮和完整16轮Zodiac算法进行了中间相遇攻击。结果表明完整16轮Zodiac-128/192/256是不抗中间相遇攻击的。(2)重点研究低轮RC6算法对积分攻击和不可能差分攻击的免疫能力,对4轮RC6算法实施了积分攻击并对5轮RC6算法实施了不可能差分攻击,攻击结果均优于穷尽搜索。但是对轮数更多的RC6算法实施以上攻击较为困难。由此说明使用数据依赖循环确实在很大程度上增强了算法的扩散性能。
胡志华[7]2012年在《密码算法SERPENT和AES分析的研究》文中指出2000年,两位比利时密码学家Joan Daemen和Vincent Rijmen设计的Rijndael算法最终确定作为美国政府的高级加密标准(Advanced Encryption Standard,简称AES)。2003年,美国政府又公开宣称AES能用于加密机密文件。到目前为止,AES已经广泛应用到各种数据加密系统中。AES建立在井然有序的代数结构上是其最具争议的热点研究问题。目前虽然还没有发现有效的攻击AES的代数方法,然而众多密码学专家有一个共同的观点:他们认为把加密算法建立在不能被证明是安全的代数结构上是存在很大安全隐患的。同时AES模块化的设计虽然在实现方面具有较高的效率,但是这些模块化的设计依然存在很大的安全缺陷。2000年以来,针对AES加密算法的攻击新方法不断出现,这些攻击AES的方法包括:代数攻击、不可能差分攻击、积分攻击、能量攻击、旁路攻击、飞来器攻击、矩形攻击、相关密钥攻击、碰撞攻击等。国际上,以Biham和Shamir为代表的多个研究团队广泛的地对AES的安全性进行研究。多种分组密码攻击技术应用到对AES的攻击中,例如:平方攻击、不可能差分攻击、部分和攻击、飞来器攻击、矩形攻击、相关密钥矩形攻击、碰撞攻击等。由此积累了大量的极具科研和社会价值的研究成果。同时国际上针对AES算法的一些新的分析方法也不断出现,例如缓冲攻击,能量攻击等针对密码芯片的攻击方案这些成果为AES密码芯片的安全性分析开阔了视野并提供了崭新的研究思路。在国内,针对AES的安全性分析的研究团队也非常活跃。董晓丽,胡玉璞等人在矩形攻击方面取得新的进展;吴文玲,冯登国,卿斯汉等人在不可能差分攻击方面有突破;张玉安,韦宝典,王新梅,殷新春,杨洁等人在S盒的代数性质和S盒的设计方面取得新的进展;赵新杰,王韬等人在CACHE攻击方面取得较好效果;赵佳,曾晓洋等人在能量攻击方面亦有建树。在上述研究背景下,本文对AES的安全性研究中的热点问题进行了深入探讨,取得以下研究成果:(1)XSL攻击是把对Rijndael和SERPENT的密码分析简化为解多元二次方程组问题(即MQ难题)。2005年Carlos Cid等人揭示了XSL攻击本质,并指出XSL攻击对SERPENT和AES构成的方程系统无效。针对Rijndael和SERPENT这两种分组密码的代数攻击,本文借助S盒的代数方程提出了SERPENT加密算法的差分代数攻击和不可能差分代数攻击两种攻击新方法。(2)研究新的攻击算法。不可能差分攻击是针对高级加密标准AES提出的一种有效的密码攻击方法。该方法也是近几年分析其他分组密码的有效方法之一。本文推导出3轮AES的一个新性质,在该性质的基础上利用不可能差分分析方法,分析了8轮AES_128。并推导出4轮AES的一个新性质,在该性质的基础上利用不可能差分分析方法,分析了9轮AES256。通过该分析可以看出AES算法的行列变换的混淆程度不够,这为我们提升和改进AES安全性提供理论依据。(3)分析密钥编排的脆弱性。2005年,Biham将Related-Key和Impossible differential相结合,提出了一种称之为相关密钥不可能差分的新分析方法。由于密钥编排的原因,AES192和AES256的线性置换层的不完全扩散性比AES128更为显着,致使AES192和AES256的攻击进展速度更快。在本文中采用的是一种新的分析方法,先利用密钥编排原理建立密钥之间存在的固有差分关系,然后利用固有差分关系建立不可能差分路径,利用密钥,明文,及密文之间固有的关系及猜测相应密钥来计算需要用到的相应差分关系,最后利用这些差分关系来恢复初始密钥的一种分析方法。
毛明[8]2012年在《分组迭代密码函数的安全性研究》文中研究表明分组迭代结构是分组密码和HASH函数设计中最常用的结构之一,其主要原因是,这种结构层次分明,便于进行安全性分析和评估;另外,轮函数经过若干次迭代以后可以达到理想的混乱和扩散效果,安全性强,软、硬件开销小。由于分组迭代结构的这种显着优点,在分组密码和HASH函数设计中占据着主导地位,因而对此类密码函数的安全性分析也就成为密码分析学中的一个重要研究方向。本论文以分组迭代密码函数的安全性分析为主线,选择几种典型的分组迭代密码函数,利用差分分析、碰撞攻击、原像攻击以及区分器构建等技术,一方面研究了这些分析技术在分析不同算法时的有效性;另一方面又研究了分组迭代密码函数整体结构的安全性。具体研究内容如下:论文对MD5算法进行了碰撞攻击方法研究,利用比特跟踪技术对差分比特进行跟踪,通过明文修改技术和非线性函数等特性来实现对差分路径的控制,对碰撞攻击的技术细节进行了深入地探索。论文还研究了MD5的原像攻击,通过引入“中立字”,探索了“初始结构”和“过渡结构”的构建方法和过程。论文根据BLAKE算法轮变换中消息置换特征和G函数的可逆性质,对已有的2轮自由起始碰撞攻击方案进行了改进,通过调整消息字和初始状态,使2轮自由起始近似碰撞达到5个字。利用中途相遇攻击技术,进行了6轮BLAKE-32自由起始差分路径分析,结果表明产生碰撞路径的概率很小。运用分段-连接技术,进行了3轮BLAKE算法的自由起始原像攻击,降低了计算复杂度。通过分析BLAKE算法G函数的线性化差分特性以及1-Bit和2-Bit输入差分的扩散特征,研究了线性化差分攻击的可能性和有效性。论文研究了Gr stl-512算法压缩函数的积分性质,针对其轮函数扩散性较差的特点,采用渗透技术首次提出了Gr stl-512的11轮积分区分器,该积分区分器的时间复杂度小于已有10轮区分器的时间复杂度,取得了目前最好的研究成果。论文利用轮函数列混合的分支数,分别对Gr stl-256和Gr stl-512压缩函数的置换方法进行了差分性质分析,通过估计多轮迭代结构中活跃S盒个数的下界,推断出Gr stl-256中10轮迭代和Gr stl-512中14轮迭代是足以抵抗差分分析的。论文还构建了Gr stl-512压缩函数的6轮不可能差分区分器,在一定程度上反映了分组迭代模块的随机性能,有助于提出新的分析方法。论文在分析CLEFIA算法结构特点的基础上,提出了Sandwich-Boomerang区分器的构建思想,并针对CLEFIA算法构建了8轮的Sandwich-Boomerang区分器,其区分成功的概率远远大于随机模型区分成功的概率。基于该区分器,论文给出了10轮CLEFIA算法的2轮密钥恢复过程,成功概率明显提高,所需要的数据复杂度和时间复杂度显着降低,远远小于穷举搜索的复杂度。
牟彦利[9]2017年在《轻量级分组密码的相关密钥不可能飞来去器分析》文中研究说明伴随互联网的飞速发展,数据处理、传输以及存储的安全性正在经受着严峻的考验。密码学作为信息安全的重要基础,起着越来越重要的作用。而分组密码作为密码学的重点研究内容之一,得到了普遍的应用。随着资源受限设备在计算研究领域的使用不断增长,传统的分组密码因耗费资源过大而不能够满足其要求,因此适用于资源受限的环境,又能够保证其安全性的轻量级分组密码受到了广泛的关注。分组密码在设计之初均考虑了对已有攻击方法的抵抗能力,如对差分攻击、线性攻击等的抵抗能力,但为了保证其安全性仍然需要对其进行更深入的研究与分析,因此将多种攻击方法联合使用成为当今密码分析的主流。相关密钥不可能飞来去器分析便是结合了叁种分析方法的优点,属于较新型的攻击方法。它具有类似于飞来去器攻击的结构,但是又充分利用了不可能差分的原理。将密码算法E看做是两个子密码算法的乘积_0E?E_1,这样区分器便由四条概率为1的差分路径构成,并且它们在中间相遇时差分的异或值不为0。构造区分器时,可以分别在加密方向、解密方向独立选择尽可能长的差分链,因此可以找到更理想的可分析路径。本文对轻量级密码算法的安全性进行了研究,研究的内容主要是针对分组密码的相关密钥不可能飞来去器分析,包括相关密钥不可能飞来去器路径搜索算法以及对轻量级分组密码算法LBlock的相关密钥不可能飞来去器分析的研究。具体研究成果描述如下。本文对不可能飞来去器路径搜索算法进行了改进,在此基础上,结合相关密钥攻击方法,提出了新的相关密钥不可能飞来去器路径搜索算法,并将其实际应用于LBlock。该算法适用于具有广义Feistel结构或者能转化为广义Feistel结构、加解密矩阵满足1-特性、S盒满足双射的分组密码算法。它能够帮助我们快速寻找到最大长度的相关密钥不可能飞来去器路径,从而大大提高密码分析的效率以及增加密码分析的强度。根据LBlock中密钥扩展算法的弱点,本文结合不可能飞来去器分析方法,构造了新型的15轮区分器,在此区分器的基础之上,向前扩展添加3轮,向后扩展4轮,首次对22轮LBlock进行了相关密钥不可能飞来去器攻击,其攻击的计算复杂度为2~(71.54)次22轮加密,数据复杂度为2~(51.3)个选择明文,共可恢复65比特密钥。之后利用改进的不可能飞来去器路径搜索算法对Lblock进行了路径搜索,得到了16轮的相关密钥不可能飞来去器路径,并在此区分器的基础上向前扩展3轮,向后扩展4轮,成功对23轮LBlock进行了攻击,其攻击的计算复杂度为2~(72.57)次23轮加密操作,数据复杂度为2~(48)个选择明文,共可恢复57比特密钥。对比已有对LBlock的攻击结果,本文攻击的数据复杂度和时间复杂度均有明显的下降。
陈怀凤[10]2017年在《分组密码算法几种分析模型的研究》文中进行了进一步梳理分组密码算法是保证当今网络空间中信息私密性的一类重要的密码算法,密码设计与密码分析是研究分组密码算法的两个主要方面,两者相辅相成,不断推动对称密码算法体系的发展。本文主要研究分组密码算法的安全性分析方法,对几类重要的分析模型的攻击过程或者是攻击使用的区分器进行改进。具体研究的分析模型包括线性分析、多维线性分析、多维零相关线性分析、不可能差分分析、零相关分析以及积分分析,相关工作为(1)改进了卡方法多维线性分析模型以及多维零相关线性分析模型的攻击过程;(2)将动态密钥猜测技术引入到面向比特的分组密码算法的线性分析模型中并对Simon进行了改进的线性分析,有效的降低了攻击的时间复杂度;(3)对不可能差分区分器、零相关区分器、积分区分器之间的关系进行了进一步研究,提出了零相关区分器向积分区分器转化的一般方法,并建立了 Feistel-type算法不可能差分区分器与零相关区分器之间更有效的等价条件。·改进卡方法多维线性分析以及多维零相关分析模型:多维线性分析和多维零相关线性分析是攻击分组密码算法的两种重要的分析模型,在使用卡方法的多维线性分析模型中(或者多维零相关线性分析模型),用来区分正确密钥和错误密钥的统计数是从多维区分器的概率分布情况计算得出。而在本文中,我们提出了一种计算统计数更简单的方法:在随机的明文空间下,从多维(零相关)线性路线的试验的相关系数出发,计算最终的统计数。这样,可以省掉计算概率分布的过程,如果在计算每条路线相关系数的时候,将FFT技术引入的话,可以降低distillation阶段的时间复杂度。为了说明我们新模型的有效性,我们使用多维零相关线性分析方法对具有双射轮函数且模加(或异或)轮密钥的Feistel结构进行了一般性攻击,对于模加密钥的情况,我们的结构攻击在轮数上是最优的;我们还分析了 CAST-256,将其多维零相关分析结果从28轮扩展到了 29轮,改进了一轮攻击,虽然与已有的29轮多重零相关分析结果具有相近的复杂度,但是我们的攻击对区分器没有独立假设,是在无假设条件下最优的攻击结果。·利用动态密钥猜测技术改进对Simon的线性分析:Simon是美国国家安全局(NSA)在2013年提出的轻量级分组密码算法,自出现起就吸引了广大密码学者的注意力,至今已存在许多的分析结果,包括差分分析、线性分析、不可能差分分析、积分分析等。在本文中,我们将动态密钥猜测技术(该思想提出时是与差分分析结合,有效的改进了对Simon的差分分析结果)引入到面向比特的分组密码算法的线性分析模型中并对Simon进行了改进的线性分析,有效的降低了攻击的时间复杂度。基本思路是:首先建立线性区分器的活性比特向两边扩展几轮后的布尔函数,发现其中存在许多"与"运算,通过猜测"与" 一边的密钥来简化布尔函数,进而使得针对不同的情况,猜测不同的密钥值,可以有效的降低密钥的平均猜测量,从而降低时间复杂度。我们改进了Simon算法所有10个版本的线性分析结果,具体为可以攻击23轮SIMON32/64,24 轮 SIMON48/72,25 轮 SIMON48/96,30 轮 SIMON64/96,31 轮 SImON64/128,37 轮 SImON96/96,38 轮 SImON96/144,49 轮SIMON128/128,51 轮 SIMON128/192 以及 53 轮 SIMON128/256。对大多数版本来说,我们的攻击在轮数上是最优的。·零相关、不可能差分、积分区分器的新关系:零相关(ZC)、不可能(ID)以及积分(IG)分析方法也是分析分组密码算法的叁种重要模型,最近几年,叁种分析模型攻击使用的区分器之间的关系成为密码学者关注的焦点之一。在ASIACRYPT'12上,Bogdanov等人给出了零相关路线与积分路线的一个基本关系,可以从输入掩码与输出掩码相互独立的零相关路线推导出一条积分路线。在ACNS'14上,Blondeau等人使用矩阵表示法,给出了几类结构的不可能差分路线与零相关路线的等价条件。在CRYPTO'15上,Sun等人也给出了针对这几个分析方法区分器等价关系的结论。在本文中,我们(1)针对具有非独立的输入输出掩码的零相关路线转化为积分路线的方法进行了深入研究,并给出了将零相关路线转化为积分路线的更容易的方法,并给出了 TEA、XTEA和HIGHT的新的积分路线;(2)使用可逆的矩阵构造Feistel-type结构不可能差分路线与零相关路线等价性条件,与之前的置换矩阵相比,可以覆盖更多算法。利用此方法,成功利用算法自身的特点解释了 SMS4-like、MARS-like、Skipjack算法Rule-A结构和Rule-B结构中不可能差分路线与零相关路线的等价性问题;同时,还利用Four-Cell的18轮不可能差分路线推导出了其18轮零相关路线,远远长于之前的12轮路线。
参考文献:
[1]. 高级加密标准的差分分析和积分分析的研究[D]. 张友明. 华中科技大学. 2005
[2]. 分组密码分析方法的基本原理及其应用[D]. 魏悦川. 国防科学技术大学. 2011
[3]. 分组密码算法ARIA的不可能差分分析和中间相遇攻击[D]. 杜承航. 山东大学. 2011
[4]. 叁个SPN型分组密码算法的扩展差分分析[D]. 刘佳. 解放军信息工程大学. 2013
[5]. 分组密码AES分析方法研究[D]. 王哲. 山东师范大学. 2012
[6]. 密码算法的组件设计与分析[D]. 海昕. 国防科学技术大学. 2014
[7]. 密码算法SERPENT和AES分析的研究[D]. 胡志华. 武汉大学. 2012
[8]. 分组迭代密码函数的安全性研究[D]. 毛明. 电子科技大学. 2012
[9]. 轻量级分组密码的相关密钥不可能飞来去器分析[D]. 牟彦利. 西安电子科技大学. 2017
[10]. 分组密码算法几种分析模型的研究[D]. 陈怀凤. 山东大学. 2017
标签:互联网技术论文; 高级加密标准论文; 分组密码论文; aes加密论文; 相关性分析论文; 加密芯片论文; 信息安全论文; 线性结构论文; 相关函数论文; 密码算法论文; 对称密钥论文; aria论文; 算法论文;